Hierdie artikel is deel van die Fileless Malware-reeks. Alle ander dele van die reeks:
- Ontwykende Malware Adventures Deel II: Hidden VBA Scripts (ons is hier)
Ek is 'n aanhanger van die webwerf (basteranalise, hierna HA). Dit is 'n soort wanware-dieretuin waar jy wilde "roofdiere" veilig op 'n veilige afstand kan waarneem sonder om aangeval te word. HA bestuur wanware in veilige omgewings, teken stelseloproepe, gegenereerde lêers en internetverkeer aan, en bring vir jou al hierdie resultate vir elke monster wat dit ontleed. U kan dus nie u tyd en moeite mors om die verduisterde kode self op te los nie, maar verstaan onmiddellik al die bedoelings van hackers.
Die HA-voorbeelde wat my aandag getrek het, gebruik óf gekodeerde JavaScript- óf Visual Basic for Applications (VBA)-skrifte wat as makro's in Word- of Excel-dokumente ingebed is en aan uitvissing-e-posse geheg is. Wanneer dit oopgemaak word, begin hierdie makro's 'n PowerShell-sessie op die slagoffer se rekenaar. Hackers stuur gewoonlik 'n Base64-gekodeerde opdragstroom na PowerShell. Dit word alles gedoen om die aanval moeilik op te spoor deur webfilters en antivirusprogrammatuur wat op sekere sleutelwoorde reageer.
Gelukkig dekodeer HA outomaties Base64 en wys alles dadelik in 'n leesbare vorm. In wese hoef jy nie te fokus op hoe hierdie skrifte werk nie, want jy sal die volle uitvoer van die opdragte vir lopende prosesse in die ooreenstemmende HA-afdeling kan sien. Sien voorbeeld hieronder:
Hibriede ontleding onderskep Base64-gekodeerde opdragte wat na PowerShell gestuur word:
... en dekodeer hulle dan vir jou. #magies
В Ek het my eie effens verduisterde JavaScript-houer geskep om 'n PowerShell-sessie uit te voer. My skrif laai dan, soos baie PowerShell-gebaseerde wanware, die volgende PowerShell-skrip af vanaf 'n afgeleë webwerf. Toe, as voorbeeld, het ek 'n onskadelike PS afgelaai wat 'n boodskap op die skerm gedruk het. Maar tye verander, en nou stel ek voor om die scenario te kompliseer.
PowerShell Empire en Reverse Shell
Een van die doel van hierdie oefening is om te wys hoe (relatief) maklik dit vir 'n kuberkraker is om klassieke omtrekverdediging en antivirusse te omseil. As 'n IT-blogger sonder programmeringsvaardighede, soos ek, oor 'n paar aande kan (ten volle ongemerk, FUD), stel jou die moontlikhede voor van 'n belangstellende jong hacker!
En as jy 'n IT-sekuriteitspersoon is, maar jou bestuurder verstaan nie die potensiële implikasies van hierdie bedreigings nie, wys hulle net hierdie artikel.
Kuberkrakers droom daarvan om direkte toegang tot 'n slagoffer se skootrekenaar of bediener te kry. Dit is baie maklik om te doen: al wat 'n kuberkraker nodig het, is om 'n paar vertroulike lêers op die uitvoerende hoof se skootrekenaar in die hande te kry.
Op een of ander manier het ek al oor die na-produksie PowerShell Empire-looptyd. Kom ons onthou wat dit is.
Dit is in wese 'n PowerShell-gebaseerde penetrasietoetsinstrument wat, onder baie ander kenmerke, dit maklik maak om 'n omgekeerde dop te laat loop. Jy kan dit in meer besonderhede verken by .
Kom ons doen 'n klein eksperiment. Ek het 'n veilige omgewing vir wanware-toetsing in die Amazon Web Services-wolk opgestel. U kan my voorbeeld volg om vinnig en veilig 'n werkende voorbeeld van hierdie kwesbaarheid te wys (en nie ontslaan te word omdat virusse binne die onderneming se omtrek hardloop nie).
As jy die PowerShell Empire-konsole bestuur, sal jy iets soos hierdie sien:
Eerstens begin jy die luisterproses op jou hacker-masjien. Voer die "luisteraar"-opdrag in en spesifiseer die IP-adres van jou stelsel met behulp van "stel Host". Begin dan die luisterproses met die "uitvoer" opdrag (hieronder). Dus, aan jou kant, sal jy begin wag vir 'n netwerkverbinding vanaf 'n afgeleë dop:
Vir die ander kant sal jy 'n agentkode moet genereer deur die "lanseerder"-opdrag in te voer (sien hieronder). Dit sal die PowerShell-kode vir die afgeleë agent genereer. Let daarop dat dit Base64-geënkodeer is en die tweede fase van die loonvrag verteenwoordig. Met ander woorde, my JavaScript-kode sal nou hierdie agent trek om PowerShell te laat loop in plaas daarvan om teks onskadelik op die skerm te vertoon en aan ons afgeleë PSE-bediener te koppel om die omgekeerde dop te laat loop.
Omgekeerde dopmagie. Hierdie geënkodeerde PowerShell-opdrag sal aan my luisteraar koppel en 'n afgeleë dop begin.
Om vir jou hierdie eksperiment te wys, het ek die rol van 'n onskuldige slagoffer aangeneem en Evil.doc oopgemaak en sodoende ons JavaScript laat loop. Onthou jy die eerste deel? PowerShell is opgestel om nie te verskyn nie, so die slagoffer sal niks buitengewoon opmerk nie. As jy egter die Windows-taakbestuurder oopmaak, sal jy 'n agtergrond PowerShell-proses sien, wat steeds geen alarm vir die meeste sal veroorsaak nie. Omdat dit gewone PowerShell is, is dit nie?
Nou, wanneer jy Evil.doc hardloop, sal 'n versteekte agtergrondproses koppel aan die bediener wat PowerShell Empire bestuur. Ek het die wit hoed van 'n pentester-kraker opgesit en teruggekeer na die PowerShell Empire-konsole, en nou sien ek 'n boodskap dat my afgeleë agent aktief is.
Toe tik ek die "interact"-opdrag om 'n dop in PSE oop te maak - en hier is ek! Kortom, ek het 'n tyd gelede by die Taco-bediener ingebreek wat ek self opgestel het.
Wat ek sopas gedemonstreer het, verg nie soveel werk van jou nie. Jy kan dit alles maklik in 'n middagete vir een tot twee uur doen om jou kennis van inligtingsekuriteit te verbeter. Dit is ook 'n goeie manier om te verstaan hoe hackers eksterne sekuriteitsomtrekverdediging omseil en by jou stelsels insluip.
IT-bestuurders wat dink hulle het 'n ondeurdringbare verdediging teen enige soort indringing gebou, sal dit waarskynlik ook leersaam vind – wel, as jy hulle kan oortuig om natuurlik lank genoeg langs jou te sit.
Terug na realiteit
Soos ek verwag het, is die regte hack, onsigbaar vir die gemiddelde gebruiker, net 'n variasie van wat ek sopas beskryf het. Om materiaal vir die volgende publikasie in te samel, het ek begin soek na 'n voorbeeld oor HA, wat op dieselfde manier werk as my uitgedinkde voorbeeld. En ek hoef nie lank daarna te soek nie - daar is baie opsies vir so 'n aanvalstegniek op die webwerf.
Die wanware wat ek uiteindelik op HA gevind het, is 'n VBA-skrip wat in 'n Word-dokument ingebed is. Dit wil sê, ek hoef nie eers die doc-uitbreiding na te maak nie, hierdie wanware is regtig die mees gewone Microsoft Word-dokument. As jy wonder, ek het hierdie patroon genaamd gekies .
Ek het vinnig geleer dat jy dikwels nie kwaadwillige VBA-skrifte direk uit 'n dokument kan trek nie. Hackers komprimeer en versteek hulle, en hulle is nie sigbaar in Word se ingeboude makro-nutsgoed nie. Jy sal 'n spesiale hulpmiddel nodig hê om dit te onttrek. Gelukkig het ek op 'n skandeerder afgekom Frank Baldwin. Dankie Frank.
Deur hierdie instrument te gebruik, kon ek 'n hoogs verduisterde VBA-kode uithaal. Dit het so iets gelyk:
Verduistering is deur professionele persone in hul veld gedoen. Ek was beïndruk!
Die aanvallers is regtig goed om kode te verduister, nie soos my pogings om Evil.doc te skep nie. Goed, in die volgende deel sal ons ons VBA-ontfouters kry, 'n bietjie dieper in hierdie kode delf en ons analise met die HA-resultate vergelyk.
Bron: will.com